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Abstract (Basic) 

The operating address code is passed from an interface (6) to a 
first address register (ADi-R) and decoder (7) passing signals (x..j) 
to switch the radio on. A second multiplexer (11) and address register 
(AD-R) pass signals to read and write circuits (5) generating a 
password. 

A second interface input has a demultiplexer (12) and de-encrypter 
(8) passing de-encrypted signals to an address register (DTd-R) . Output 
words (DTd) are compared with the password (PW) to set an electronic 
lock (L) which only frees the decoder if the password is correct. 

ADVANTAGE-Address code cannot be detected and used by a thief. Low 
cost solution. 

Dwg.3/4 

Abstract (Equivalent) : US 5594793 A 

An integrated circuit comprising an electrically modifiable 
non-volatile memory, an associated control circuit and at least one 
volatile memory element constituting a lock whose state, when it is 
powered on, defines a locked state of said memory, said integrated 
circuit being one wherein said memory has a first zone that can be 
read-protected by said lock and a second zone that is always 
read-protected, write-protected by said lock and contains at least one 
password at a determined address, wherein said control circuit has 
first means to detect a command for writing a data element addressed by 
said determined address while said memory is locked and second means to 
verify the compatibility of said data element with said password, said 
compatibility being different from identity, and wherein, in the event 
of compatibility, said lock is released. 
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(54) Circuit in teg re contenant une memoire protegee et systeme securise utilisant ledit circuit in teg re. 



(57) Pour proteger efficacement en lecture des 
donnees memorisees, le circuit integre 
comporte une memoire de type EEPROM et un 
verrou (L) protegeant une zone de la memoire. 

La memoire contient un mot de passe (PW) 
protege en lecture et le circuit comporte des 
moyens pour liberer le verrou (L) si le circuit 
regoit une commande d'ecriture a I'adresse du 
mot de passe du meme mot de passe (PW) 
encrypte. 

Application notamment aux systemes et 
appareils electron iques a code conftdentiel, tels 
que les auto-radios. 
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1 EP 0 651 

L'invention concerne un circuit integre utilisable* 
comme memoire non volatile modifiable electrique- 
ment et qui permet une protection en lecture d'au 
moins une partie des donnees qu'elle contient. L'in- 
vention concerne egalement un systeme utilisant un 5 
tel circuit integre en vue de rendre ce systeme inutili- 
sable sans la connaissance d'un code confidentiel 
permettant d'inhiber la protection de la memoire et 
done du systeme. 

L'invention trouve de nombreuses applications 10 
dans le domaine de I'electronique dit "grand public". 
On peut citer par exemple les auto-radios & code an- 
tivol, les micro-ordinateurs portables, les magnetos- 
copes, les appareils de television et plus g£ngrale- 
ment tout appareil electronique que Ton souhaite pro- 15 
teger du vol par un code confidentiel. 

Le circuit integre selon l'invention pourra egale- 
ment etre utilise pour la transmission de donnees s&- 
curisees grace e la partie protegeable de la memoire. 

Jusqu'e present, la protection par code antivol 20 
d'appareils eiectroniques tefs que les auto-radios 
etait r^alisee au moyen d'un code confidentiel speci- 
f ique de I'appareil ecrit dans une memoire program- 
mable & une adresse determinee. La memoire qui est 
generalement du type EEPROM est associee a des 25 
moyens de verrouillage d'une partie au moins des 
donnees qu'elle contient, le verrouillage etant active 
automatiquement lorsque la memoire n'est plus ali- 
mentee. La memoire pourra aiors etre deverrouillee 
si elle re$oit une commande d'ecriture a I'adresse d£- 30 
terminee d'une donnee qui coincide avec le code 
confidentiel. 

L'inconvenient de cette solution reside dans le 
fait qu'il est possible de detecter I'adresse du code 
confidentiel et d'y inscrire le code confidentiel de son 35 
choix. Ainsi, un appareil qui a 6te derobe pourra & 
nouveau etre utilise grace a ce nouveau code. 

Une solution a ce probieme peut consister a uti- 
liser une carte & microprocesseur qui garantit un haut 
degre d'inviolabilite. Cette solution est cependant 40 
d'un cout eleve (cout de la carte et de son lecteur), ce 
qui exclut pratiquement son utilisation pour les appa- 
reils grand public bon marche. Parailleurs, la person- 
nalisation de chaque appareil produit, e'est-^-dire 
I'affectation d'un mot de code specif ique doit neces- 45 
sairement etre realisee par le fabricant du micropro- 
cesseur de la carte compte tenu de la confidentialite 
attachee aux procedures de programmation de ces 
cartes. 

L'invention a pour but de remedier aux inconv6- so 
nients precedents en proposant un circuit integrS 
standard, personnalisable unitairement par le fabri- 
cant d'appareils eiectroniques et assurant une invio- 
labilite raisonnable du systeme. 

Dans ce but, l'invention a pour objet un circuit in- 55 
tegre comprenant une memoire non volatile modifia- 
ble electriquement, un circuit de commande associe 
et au moins un element de memoire volatile materia- 
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lisant un verrou dont I'etat a sa mise sous tension de- 
f init un etat verrouille de ladite memoire, (edit circuit 
integre etant caract6rise en ce que ladite memoire 
comporte une premiere zone protegeable en lecture 
par ledit verrou et une seconde zone toujours prote- 
gee en lecture, protegee en ecriture par ledit verrou 
et contenant au moins un mot de passe & une adresse 
determinee, en ce que ledit circuit de commande 
comprend des premiers moyens pour detecter une 
commande d'ecriture d'une donn6e adressee par la- 
dite adresse determinee alors que ladite memoire est 
verrouillee et des seconds moyens pour verifier la 
compatibilite de ladite donn6e avec ledit mot de pas- 
se, ladite compatibilite etant d if ferente de I'identite, et 
en ce qu'en cas de compatibilite ledit verrou est libe- 
ra. 

Selon un mode de realisation particulier, le circuit 
integre comporte des moyens de decryptage et ladite 
verification de compatibilite consiste alors e decryp- 
ter ladite donnee regue adressee par ladite adresse 
determinee et a comparer ladite donnee decryptee 
audit mot de passe contenu & ladite adresse determi- 
nee. 

Pour permettre au fabricant ou a I'utilisateur de 
modifier le mot de passe, sans pour cela qu'il puisse 
etre detecte par une simple analyse des signaux ex- 
terieurs au circuit, on prevoira avantageusement que 
lorsqu'une commande d'ecriture d'une donnee adres- 
see par ladite adresse determinee est detectee alors 
que le verrou est libere, le circuit de commande active 
le decryptage de ladite donnee. et I'ecriture de ladite 
donnee decryptee a ladite adresse determinee. 

Selon encore une autre variante de realisation, la 
deuxieme zone contient plusieurs mots de passe et 
Tun de ces mots de passe, appele motde passe du 
fabricant, est protegeable en ecriture independam- 
ment de retat du verrou. II sera alors possible au fa- 
bricant d'imposer un mot de passe non modifiable par 
un tiers tout en permettant a I'utilisateur de choisir & 
voionte son propre code confidentiel qui correspon- 
ds a un mot de passe "utilisateur" modifiable. 

II est par ailleurs souhaitable de permettre au fa- 
bricant d'utiliser une procedure unique pour chaque 
appareil fabrique et d'6viter que la personnalisation 
d'un appareil necessite une programmation specifi- 
que des autres composants de I'appareil. Pour cela 
et selon un autre aspect de l'invention, le circuit 
contient une cl6 de decryptage et la memoire compor- 
te une troisieme zone librement accessible en lecture 
et contenant une donnee d'identif ication de systeme, 
ladite cie de decryptage et ledit mot de passe etant 
des fonctions de ladite donn6e d'identification. 

Dans le cas ou un mot de passe reserve au fabri- 
cant est prevu, cette derniere disposition permet au 
fabricant de retrouver le mot de passe encrypte k par- 
tir de la seule donn6e d'identification. La memoire 
pourra ainsi etre deverrouillee dans le cas par exem- 
ple ou I'utilisateur ne retrouve plus son code confi- 
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dentiel. 

Seton un mode de realisation particulier. la c(6 est 
un mot de m§me dimension que les mots de passe et 
I'encryptage ou decryptage consiste alors a ef fectuer 
des operations "ou exclusif sur les bits de mdme 
poids de la cie et du mot a encrypter ou decrypter. 

Selon un autre aspect, la cie est contenue dans 
la seconde zone et le circuit de commande comprend 
des troisiemes moyens pour detecter une commande 
d'ecriture d'une donnee adress6e par I'adresse de la- 
dite cie alors que ledit verrou est lib6re, le circuit de 
commande activant ledit decryptage de ladite donnee 
et l'6criture de ladite donnee d^cryptee a ladite adres- 
se de cie. 

Avantageusement, la cie sera protegeable en 
ecriture de la m§me facon que le mot de passe du fa- 
bricant. 

Enfin, pour permettre un contrdle suppiementai- 
re de I'integrite de la memoire, on pourra aussi pr6voir 
que toute commande d'ecriture d'une donnee adres- 
s6e par I'adresse (ADx) du mot de passe du fabricant 
(PW) protege en ecriture entraTne une verification de 
la compatibility entre ladite donn6e et ledit mot de 
passe du fabricant et, en cas d'incompatibilite, le 
verrouillage de la memoire. 

L'invention a egalement pour objet un systeme 
comportant une unite de traitement relive a une inter- 
face utilisateur et a un circuit integre tel que d6f ini pr6- 
cedemment, ladite unite etant capable d'adresser en 
lecture et en ecriture ledit circuit integre. Le systeme 
est caracterise en ce qu'une partie au moins des don- 
nees necessaires au fonctionnement dudit systeme 
est contenue dans ladite premiere zone et en ce que 
I'unite de traitement est programm6e pour prendre en 
compte un code confidentiel par ('intermediate de 
Tinterface utilisateur et pour commander audit circuit 
integr£ I'ecriture dudit code confidentiel a ladite 
adresse determinee. 

Dans le cas ou la seconde zone contient une c!6 
d'encryptage et de decryptage et un mot de passe du 
fabricant protege en ecriture etfonction dela donn6e 
d'identif ication, f unite de traitement comprend avan- 
tageusement des moyens pour calculer le mot de pas- 
se encrypte en fonction de la donnee d'identif ication 
lue dans la troisteme zone. Cette possibility peut etre 
exploitee pour control er la coherence entre la cle et 
le mot de passe du fabricant contenus dans la memoi- 
re. 

D'autres aspects de realisation et avantages de 
('invention apparaftront dans la suite de la description 
en reference aux figures. 

- La figure 1 represente la structure d'une m6- 
moire EEPROM selon Tetat de la technique. 

- La figure 2 represente ('organisation des don- 
n6es contenues dans la memoire conforme- 
ment a i'invention. 

- La figure 3 represente les modifications a ap- 
porter a la memoire selon la figure 1 pour la 



mise en oeuvre de ('invention. 
- La figure 4 represente une partie du circuit de 
commande d'un exemple de realisation du cir- 
cuit integre selon I'invention. 
5 - La figure 5 represente schematiquement un 

systeme utilisantle circuit integre selon ('inven- 
tion. 

La figure 1 represente un exemple de structure 
d'une memoire EEPROM de type classique et sus- 
10 ceptible d'etre adaptee pour mettre en oeuvre I'inven- 
tion. 

La memoire comprend une matrice 1 de points 
memoire reliee & un decodeur de lignes 3 et & un de- 
codeur de colonnes 4 associe a des circuits de lectu- 
15 re et d'ecriture 5. L" ecriture de la matrice 1 est effec- 
tu6e au moyen d'un circuit de programmation 7 es- 
sentiellement constitue d'un oscillateur, d'un eieva- 
teurde tension etd'un g6nerateurde rampe program- 
mee. Les decodeurs 3 et 4 sont relies a un registre 
20 d'adresse AD-R. Les circuits de lecture et d'ecriture 
5 sont relies respectivement a un registre de donnees 
de sortie DTo-R et & un registre de donn6es d'entree 
DTi-R. Les registres AD-R, DTo-R, DTi-R communi- 
quent avec un circuit d'interface 6. Selon I'exemple 
25 represente, le circuit 6 est re lie a un bus con forme a 
la norme l 2 C qui comprend notamment une .ligne 
d'horloge SCL et une ligne bidirectionnelle SDA per- 
mettant de vehiculer les adresses, les donnees et les 
commandes. L'ensemble est contrdle par un circuit 
30 de commande 2. Le circuit 2 sera par exemple realise 
au moyen d'un reseau logique programmable (PLA) 
concu pour fournir les signaux de commande aux dif- 
ferents circuits en fonction des commandes re cues 
de la ligne SDA, telles que les commandes de lecture 
35 RD ou d'ecriture WR. 

La memoire representee a la figure 1 etant de 
type classique, une description detaillee de son fonc- 
tionnement serait superflue. II convient toutefois de 
rappeler que le circuit d'interface 6 a pour fonction en 
40 reception de decoder les commandes recues de la li- 
gne SDA et de les transmettre au circuit de comman- 
de 2. L'interface 6 effectue 6galement la conversion 
serie-parallele des adresses et des donnees recues 
avant de les transmettre respectivement au registre 
45 d'adresse AD-R et au registre de donnees d'entree 
DTi-R. En emission, sous le contrdle du circuit de 
commande 2, l'interface 6 effectue la conversion pa- 
ralteie-serie des donnees lues contenues dans le re- 
gistre de donnees de sortie DTo-R. Bien entendu, ces 
so transferts de donnees sont synchronises par le signal 
d'horloge SCL et respectent le protocole de commu- 
nication du bus. 

Pour plus de details, il conviendra de se referer 
aux specifications des memoires EEPROM disponi- 
55 bles sur le marche comme par exemple le modeie 
ST24C04 commercialise par la societe SGS-THOM- 
SON MICROELECTRONICS. 

La figure 2 represente ('organisation des don- 



BNSOOCIO: <EP 0651394A1> 



5 



EP 0 651 394 A1 



6 



nees contenues dans la memoire en vue de ta mise * 
en oeuvre de I'invention. Une premiere zone Z est 
destinee & contenir les donnees que Ton souhaite pro- 
teger par un code confidentiet. Ces donnees seront 
par exemple les donnees necessaires au fonctionne- 
ment d'un systeme & microprocesseur ou d'un appa- 
reil muni d'un microcontrdleur. Cette zone est repe- 
ree par les poids forts de I'adresse ADz du premier 
mot qu'elle contient. 

Une seconde zone S contient un ou plusieurs 
mots de passe PW, UPW ainsi qu'une cle MSK repe- 
res respectivement par les adresses ADx, ADu et 
ADm. II est d remarquer que cette zone n'est pas ne- 
cessairement formee de mots contigus. Conforme- 
ment & 1'invention, les mots contenus dans la zone S 
sont en permanence proteges en lecture, lis peuvent 
etre modifies (ecriture) sous certaines conditions 
comme nous le verrons ulterieurement. 

Une troisieme zone Y libre en lecture contient 
une donnee d'identification ID (par exemple un nu- 
mero de serie) de I'appareil qui comporte la memoire. 
Cette zone doit pouvoir etre ecrite par le fabricant de 
I'appareil mais elle ne doit pas pouvoir etre modifiee 
parson utilisateur. 

Selon ('invention, I e circuit de commande 2 est 
con$u de fagon & contrdler les conditions d'acces aux 
trois zones conformement aux regies exposees ci- 
dessus. En particulier, I'acces en lecture de la pre- 
miere zone Z sera conditionne par une presentation 
prealable d'un mot de passe encrypte au moyen de 
la cle MSK. Des explications plus detaillees vont 
maintenant etre donnees en reference aux figures 3 
et4. 

La figure 3 represente les modifications & appor- 
ter au chemin de donnees de la memoire representee 
& la figure 1 pour la mise en oeuvre de I'invention. 
Nous retrouvons sur cette figure le circuit d'interface 
6, le decodeur de colonnes 4, les circuits de lecture 
et d'ecriture 5 et le registre d'adresse AD-R. Le regis- 
tre AD-R est relie d I'interface 6 par I'intermediaire 
d'un second registre d'adresse ADi-R et d'un multi- 
plexer 11. La sortie du second registre d'adresse 
ADi-R est reliee d ('entree d'un circuit de decodage 
d'adresse 7 fournissant en sortie les signaux x, u, m, 
y, z, j representatifs de la detection d'adresses ou de 
zones de memoire particulieres. La premiere entree 
du multiplexeur 11 est reliee d la sortie du second re- 
gistre d'adresse ADi-R et sa seconde entree regoit 
une valeur d'adresse fixe ADm correspondant & 
I'adresse de la cle MSK. 

La sortie du registre de donnees d'entree DTi-R 
est reliee d I'entree d'un demultiplexer 12 dont une 
des sorties est reliee & I'entree d'un circuit de decryp- 
tage 8. La seconde sortie du demultiplexer 12 et la 
sortie du circuit 8 sont reliees aux entrees des circuits 
5 et d'un registre de donnees decryptees DTd-R. 

Les sorties des circuits 5 sont reliees d I'entree 
d'un second demultiplexer 9 £ trois sorties. La pre- 



miere sortie est reliee & I'entree d'un registre de don- 
nees secretes DTx-R, la seconde sortie est reliee d 
I'entree du registre de donnees de sortie DTo-R et la 
troisieme sortie est reliee & I'entree d'un registre de 

5 cle DTm-R. La sortie du registre de cle DTm-R est re- 
liee £ I'entree du circuit de decryptage 8. 

Les sorties des registres de donnees decryptees 
DTd-R et de donnees secretes DTx-R sont reliees d 
un comparator 10 dont la sortie est reliee d'une part 

10 a I'entree R de remise & zero d'une bascule BL et 
d'autre part, & son entree S de positionnement (mise 
a "I") par I'intermediaire d'un inverseur. L'etat L(avec 
son complement L*) de la bascule BL def init l'etat pro- 
tege de la memoire. Plus precisement, cela signifie 

15 que la zone Z est interdite en lecture lorsque L = 1. 
L'entree de positionnement S de la bascule BL est re- 
liee & des moyens non representes pour forcer L £ 1 
lors de la mise sous tension du circuit. 

Avant d'expliquer le fonctionnement du circuit de 

20 la figure 3, il convient de se reporter & la figure 4 pour 
definir les principaux signaux utiles k la commande 
du circuit. Selon I'exemple represente, le circuit de de- 
codage d'adresses 7 fournit les signaux logiques x, u ( 
m, y, z t j en cas de coincidence entre I'adresse re$ue 

25 contenue dans le second registre d'adresse ADi-R et 
respectivement les adresses ADx, ADu, ADm, ADy, 
ADz def inies precedemment en reference & la figure 
2. Un signal supplemental j permet de definir une 
zone particuliere de la memoire ou une ecriture serait 

30 autorisee selon la procedure normale, cette zone 
pouvant d'ailleurs coTncider avec une partie ou I'inte- 
gralite de la zone Z. 

Le circuit logique represente £ la figure 4 a la 
structure generale d'un reseau logique programma- 

35 ble pouvant par consequent etre integre facilement 
au reseau constituant le circuit de commande de la 
memoire classique. II est ainsi constitue d'un ensem- 
ble de portes ET A1 £ A8 dont les sorties sont reliees 
£ un ensemble de portes OU 01 £ 04. Les entrees 

40 des portes ET regoivent les divers signaux definis 
precedemment ainsi que des signaux de commande 
de lecture RD ou d'ecriture WR decodes par I'inter- 
face 6. 

La premiere porte OU 01 fournit un signal de 
45 commande interne de lecture r dans les quatre cas 
suivants : 

- commande externe de lecture RD dans la zone 
libre Y; 

- commande externe de lecture RD dans la zone 
so protegee Z alors que le verrou L est libere (L* = 1) ; 

- presentation d'un mot de passe encrypte de- 
tecte par une commande d'ecriture WR & Tune 
des adresses ADx ou ADu alors que la memoi- 
re est verrouillee (L = 1). 

55 Les differents cas de presentation sont detectes 

par la seconde porte OU 02 qui fournit un signal p in- 
diquant si les conditions d'une presentation sont sa- 
tisfaites. Dans ce cas, la commande externe d'ecritu- 
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re WR doit §tre interpretee comme une lecture interne 

d'un mot de passe. 

La troisieme porte OU 03 four nit un signal d de 

detection de decryptage. Le signal d est active lors- 

que Tune des conditions suivantes est satisfaite : 

une commande externe d'ecriture WR est in- 
terpret^ comme une presentation ; 

- une commande externe d'ecriture WR d'un des 
mots de passe est detectee alors que le verrou 
est Iib6r6 (L = 0) ; 

- une commande externe d'ecriture WR de la cie 
est d6tect6e alors que le verrou L est libere. 

La quatrieme porte OU 04 fournit un signal de 
commande interne d'ecriture w lorsqu'une comman- 
de externe d'ecriture WR d'un des mots de passe, de 
la cle ou d'une donn6e contenue dans une zone au- 
torisee en Venture est detectee alors que le verrou est 
libere. 

Le circuit de la figure 3 fonctionne de la fagon sui- 
vante. Lorsqu'une commande externe de lecture 
d'une donnee contenue dans la zone libre Y ou dans 
la zone protegee Z est detectee alors que le verrou L 
est libre, le demultiplexeur 9 autorise le transfert de 
la donnee lue vers le registre de donnees de sortie 
DTo-R. Dans tous les cas ou le signal de detection de 
decryptage d est actif, le circuit effectue une lecture 
prealable de la cle MSK en adressant la memoire par 
I'adresse ADm par ['intermediate du multiplexeur 11. 
La donnee lue est alors transferee par le demulti- 
plexeur 9 dans le registre de cie DTm-R de fagon & 
permettre Top£ration de decryptage par le circuit 8. 
Ensuite, s'il s'agit d'une presentation (p = 1 ), le demul- 
tiplexeur 9 autorise le transfert du mot de passe lu 
dans le registre de donn6es secretes DTx-R. Paral- 
leiement, la donn6e regue contenue dans le registre 
de donnees d'entr6e DTi-R est transferee a Tentree 
du circuit de decryptage 8 par le demultiplexeur 12. 
D'autre part, la donnee d'entree decryptee par le cir- 
cuit 8 est transferee dans le registre de donnees d6- 
cryptees DTd-R et son contenu est compare a celui 
du registre DTx-R. En cas d'identite, la bascule BLest 
remise a zero, ce qui libere le verrou L. En cas de dif- 
ference, la bascule 8L est mise a 1, ce qui verrouille 
L. 

Lorsqu'une commande externe d'ecriture WR 
d'un mot de passe ou de la cie est detectee alors que 
le verrou est Iib6r6, cette commande d'6criture est 
d'abord interpretee comme une commande de de- 
cryptage (d = 1) et entrame comme pour une presen- 
tation un cycle preiiminaire de lecture de la cie MSK 
et son chargement dans le registre de cie DTm-R par 
Tintermediaire du demultiplexeur 9. Lorsque cette 
operation est terminee, la donnee regue est decryp- 
tee par le circuit 8 puis ecrite dans la memoire en tant 
que nouveau mot de passe ou nouvelle cie, a condi- 
tion que la donnee a ecrire ne se situe pas dans une 
zone protegee en 6criture independamment de l'6tat 
du verrou L. 



Une fagon simple de realiser le decryptage 
consiste a choisir comme cie MSK un mot de meme 
longueur que les mots de passe et a effectuer des 
operations "OU EXCLUSIF" sur les bits de m§me 
5 poids de la cie et du mot a decrypter. Dans ce cas, 
roperation de decryptage est identique a cede d'en- 
cryptage. 

La figure 5 represente sch6matiquement un sys- 
teme securise au moyen d'un circuit integre selon Tin- 
to vention. Le systeme est organise autour d'un bus B 
et comprend une unite de traitement programmable 
13, telle qu'un microprocesseur ou un microcontrd- 
leur, un circuit 15 contenant une memoire protegee 
conform6ment a ('invention, une interface utilisateur 

15 14 et d'autres composants tels qu'une memoire vive 
16 et un ensemble de circuits d'interface 17. 

L'interface 14 permet a ('utilisateur de presenter 
un code confidentiel apres la mise sous tension du 
systeme. Ce code confidentiel est normalement iden- 

20 tique a la valeur encryptee d'un mot de passe "utili- 
sateur" UPW contenu dans la memoire. L'unite de 
traitement envoie alors au circuit 15 une commande 
d'ecriture a I'adresse ADu du code confidentiel. 
Comme explique prec6demment t le circuit 15 inter- 

25 prete cette commande comme une presentation et 
effectue la comparaison entre le mot regu d6crypt6 
et le mot de passe UPW lu a I'adresse ADu. Si regalite 
est detectee, le verrou L est libere. . 

Le systeme sera avantageusement prevu pour 

30 permettre a ('utilisateur de modifier son code confi- 
dentiel au moyen d'une commande appropriee appli- 
quee a l'interface 14. L'ecriture dans le circuit 1 5 d'un 
nouveau mot de passe correspondant s'effectuera 
comme indique precedemment. Cette operation s'ac- 

35 compagnera d'une mise a 1 de la bascule BL mais eel- 
le-ci sera remise a zero a la suite d'une nouvelle pre- 
sentation du nouveau code confidentiel. 

On peut constater que les presentations ou les 
modifications du mot de passe ne permettent pas de 

40 de teeter par une simple analyse des signaux vehicu- 
les sur le bus, la cie et le mot de passe contenus dans 
la memoire. 

Selon une variante, la cle et le mot de passe du 
fabricant sont places dans une zone protegee en ecri- 

45 ture et sont calculates en fonction d'une donnee 
d'identification ID au moyen d'un algorithme confi- 
dentiel. Si d'autre part, l'unite de traitement contient 
un algorithme ou une table lui permettant de calculer 
le mot de passe encrypte en fonction de la donnee 

so d'identification, l'unite sera en mesure de verifier la 
compatibilite entre le mot de passe du fabricant et la 
cie contenue dans la memoire en pr£sentant le mot de 
passe du fabricant encrypte resultant du calcul. 
Cette verification pourra etre declenchee auto- 

55 matiquement par le micro contrdleur en pr6voyant 
dans son programme d'execution des commandes 
periodiques ou aieatoires d'ecriture du mot de passe 
du fabricant encrypte. Ainsi, dans le cas ou le mot de 
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passe recu par la memoire est different de celui 
qu'elle contient, elle se verrouille automatiquement. 

Les moyens permettant au fabricant de verrouil- 
ler en ecriture une zone determinee de la memoire 
sont de type classique. Une telle protection est par 
exemple prevue dans la memoire ST24C04 de SGS- 
THOMSON MICROELECTRONICS. 

Le mode de realisation qui vient d'etre decrit ne 
doit pas etre considere comme limitatif de ['invention 
car de nombreuses variantes peuvent etre apportees 
par I'homme du metier en remplacant certains ele- 
ments decrits par des moyens equivalents ou en 
adaptant la mise en oeuvre d d'autres types de me- 
moires. 



Revendications 

1. Circuit integre comprenant une memoire (1) non 
volatile modifiable electriquement, un circuit de 
commande (2) associe et au moins un element de 
memoire volatile (BL) materialisant un verrou (L) 
dont I'etat & sa mise sous tension definit un etat 
verrouille de ladite memoire, ledit circuit integre 
etant caracterise en ce que ladite memoire (1) 
comporte une premiere zone (Z) protegeable en 
lecture par ledit verrou (L) et une seconde zone 
(S) toujours protegee en lecture, protegee en 
ecriture par ledit verrou (L) et contenant au moins 
un mot de passe (PW, UPW) d une adresse de- 
terminee (ADx, ADu), en ce que ledit circuit de 
commande (2) comprend des premiers moyens 
(7) pour detecter une commande d'ecriture d'une 
donnee adressee par ladite adresse determinee 
(ADx, ADu) alors que ladite memoire est verrouil- 
lee et des seconds moyens pour verifier la 
compatibilite de ladite donnee avec ledit mot de 
passe (PW, UPW), ladite compatibilite etant dif- 
ferente de I'identite, et en ce qu'en cas de compa- 
tibilite ledit verrou (L) est libere. 

2. Circuit integre selon la revendication 1, caracte- 
rise en ce qu'il comporte des moyens de decryp- 
tage (8), ladite verification de compatibilite 
consistant alors d decrypter ladite donnee recue 
adressee par ladite adresse determinee (ADx, 
ADu) et & comparer ladite donnee decryptee au- 
dit mot de passe (PW, UPW) contenu d ladite 
adresse determinee (ADx, ADu). 

3. Circuit integre selon la revendication 2, caracte- 
rise en ce que lorsqu'une commande d'ecriture 
d'une donnee adressee par ladite adresse deter- 
minee (ADx) est detectee alors que le verrou (L) 
est libere, le circuit de commande (2) active le de- 
cryptage de ladite donnee et I'ecriture de ladite 
donnee decryptee d ladite adresse determinee 
(ADx). 



4. Circuit integre selon Tune des revendications 1 d 
3, caracterise en ce que ladite seconde zone (S) 
contient plusieurs mots de passe (PW). (UPW), 
en ce que Tun desdits mots de passe (PW), ci- 

5 apres appele mot de passe du fabricant, est pro- 

tegeable en ecriture independamment de I'etat 
du verrou (L). 

5. Circuit integre selon la revendication 4, caracte- 
10 rise en ce qu'il contient une cle de decriptage 

(MSK), en ce que ladite memoire (1) comporte 
une troisieme zone (Y) librement accessible en 
lecture et contenant une donnee d'identification 
(ID) de systeme et en ce que ladite cle (MSK) et 
15 ledit mot de passe du fabricant (PW) sont des 

fonctions de ladite donnee d'identification (ID). 

6. Circuit integre selon la revendication 5, caracte- 
rise en ce que ladite cle (MSK) est un mot de 

20 meme longueur que lesdits mots de passe (PW, 

UPW) et en ce que ledit encryptage ou decrypta- 
ge consiste alors & effectuer des operations "ou 
exclusif" sur les bits de meme poids respective- 
ment de la cle et du mot & encrypter ou decrypter. 

25 

7. Circuit integre selon la revendication 5 ou 6, ca- 
racterise en ce que ladite cle (MSK) est contenue 
dans ladite seconde zone (S), en ce que ledit cir- 
cuit de commande (2) comprend des troisiemes 

30 moyens (7) pour detecter une commande d'ecri- 

ture d'une donnee adressee par I'adresse (ADm) 
de ladite cle (MSK) alors que ledit verrou (L) est 
libere et en ce que le circuit de commande (2) ac- 
tive ledit decryptage de ladite donnee et I'ecriture 

35 de ladite donnee decryptee d ladite adresse de 

cle (ADm). 

8. Circuit integre selon I'une des revendications 5 d 

7, caracterise en ce que ladite cle (MSK) est pro- 
40 tegeable en ecriture independamment de I'etat 

du verrou (L). 

9. Circuit integre selon I'une des revendications 5 d 

8, caract6rise en ce que toute commande d'ecri- 
45 ture d'une donnee adressee par I'adresse (ADx) 

du mot de passe du fabricant (PW) protege en 
ecriture entrame une verification de la compati- 
bilite entre ladite donnee et ledit mot de passe du 
fabricant et, en cas d'incompatibilite, le verroi, :i - 
50 lage de la memoire. 

1 0. Systeme comportant une unite de traitement (1 3; 
reliee d une interface utilisateur (14) et d un cir- 
cuit integre (15) selon I'une des revendications 2 

55 & 8. ladite unite (1 3) etant capable d'adresser en 

lecture et en ecriture ledit circuit integre (1 5), ca- 
racterise en ce qu'une partie au moins des don- 
nees necessaires au fonctionnement dudit syste- 



3J;SCCCID: <EP 06S1394A1> 



11 



EP0 651 394 A1 



me est contenue dans ladite premiere zone (Z) et 
en ce que Tunit6 de traitement (13) est program- 
me pour prendre en compte un code confiden- 
tiel par Tinterm^diaire de Pinter face utilisateur 

(14) et pour commander audit circuit int£gr£ (15) 5 
V6criture dudit code conf identiel k ladite adresse 
d6termin6e (ADx, ADu). 

11. Systfeme comportant une unite de traitement (13) 

et un circuit int6gr6 (1 5) selon la revendication 9, 10 
ladite unite 6tant capable d'adresser en lecture et 
en 6criture led it circuit int6gr6 (1 5), caract6ris6 en 
ce qu'une partie au moins des donn6es n6cessai- 
res au fonctionnement dudit systeme est conte- 
nue dans ladite premiere zone (Z), en ce que le is 
mot de passe du fabricant est prot6g6 en Venture, 
en ce que l'unit& de traitement (1 3) comprend des 
moyens pour calculer le mot de passe du fabri- 
cant (PW) encrypts en fonction de ladite donn6e 
d'identification (ID) fue dans ladite troisi&me 20 
zone (Y) et en ce que I'unite de traitement est pro- 
gramme pour commander audit circuit int6gr6 

(15) I'ecriture dudit mot de passe du fabricant en- 
crypts k ladite adresse (ADx) du mot de passe 
(PW) du fabricant. 25 
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